|
|
|
|
| |
|
|
|
|
 |
|
|
|
|
 資訊安全加值服務: 資安認證服務(ISO 27001)
| |
| |
| 資訊安全管理系統(ISMS) |
|
- 資訊安全管理系統(ISMS)是一套有系統的分析和管理資訊安全風險的方法,系統對組織敏感資訊進行管理,涉及到人、程式和資訊科技(IT)系統。
- 針對組織內部所使用之資訊,實施全面性之管理,以妥善保護資訊之機密性(Confidentiality)、完整性(Integrity)與可用性(Availability)並降低資安事件之衝擊至可承受之範圍。
|
|
1. 國際資訊安全管理系統標準ISO 27001
- 目前國際上最廣泛採用之管理制度標準規範
- 現行資訊安全之最佳作業方法
- 提供資訊安全管理系統(ISMS)建立實施與文件化之具體要求
- 可依個別組織需求,規定要實施之安全控制措施的要求
- 絕大部份著重在管理面的要求,其次才是技術面的專業知識
|
| |
2. ISO 27001範疇
|
 |
| |
| |
3. ISO 27001內容概述
- 安全政策---表達對資訊安全管理系統的支持和承諾
- 資訊安全組織---建立一個管理架構,用於組織內部資訊安全的管理和控制,以及執行現有的資訊安全規定
- 資產管理---確保對組織各項資產的安全進行有效保護
- 人力資源安全---明訂所有人員在安全方面的職責和角色
- 實體和環境安全---對組織營運場所及人員提出簡單明確的安全要求
- 通訊與作業管理---盡可能完善組織內外的溝通聯繫,以利於資訊安全管理系統的順利運行
- 存取控制--管理對資訊的存取行為
- 資訊系統取得、開發和維護---確保組織IT專案和相關的支援活動已實施安全控制,必要時進行資料管制和加密
- 資訊安全事故管理---確保在某種程度上傳達與資訊系統有關的資訊安全事件與弱點,始能採取即時的矯正行動。確保實施一致與有效的方法管理資訊安全事故
- 營運持續管理---發展和維護組織營運持續計劃,保護關鍵的業務活動免受重大災難或中斷的影響
- 符合性---符合資訊安全法令或規定的相關要求
|
| |
| 資訊安全管理系統建置暨導入委外服務的項目 |
|
| 東捷資訊提供的資訊安全管理系統建置暨導入委外服務(如上圖),可為企業釐清資訊安全的落實狀況,進行風險管控制度的建立,分析現有資訊資產,找出潛藏的威脅與脆弱點,並設計建置符合國際標準要求的資訊安全管理制度,讓企業的營運管理能符合安全需求及營運效率提昇,同時,避免成為下一個資安事件的受害者。 |
| |
1. 資訊安全管控現況分析
東捷資訊資安顧問可針對企業現行的資訊作業及資訊系統以訪談及書面審核方式瞭解業務特性及資安落實狀況,並針對資安現況與ISO 27001:2005之資訊安全管理系統進行差異分析評估。
|
 |
| |
2. 資訊系統管控風險評鑑與管理
東捷資訊資安顧問針對企業資訊系統及營運活動以系統化的機制、評定標準及方法,來鑑別、分析及評估可能面臨之風險,並採取適切的處理措施,同時加以監控,以降低企業資訊安全風險。
|
 |
| |
3. 資訊安全管理機制設計與建置
東捷資訊資安顧問根據企業組織、業務、所在位置、資產及技術等特性,考量安全需求及風險評鑑結果,設計符合所需的資訊安全管理制度,確認各項書面管理控制規範之內容,並針對資訊安全事件建立通報程序及處理機制,以處理資訊系統所衍生出的風險問題,另外,東捷資訊也提供相關資訊產品及建議,以加強企業資訊實體與環境整體安全。
|
|
| |
4. 企業營運持續計劃及演練
為了因應天災人禍所可能導致資訊系統或資訊資產損失或服務中斷的威脅,東捷資訊資安顧問根據企業組織特性及豐富的資安經驗,協助企業進行營運衝擊分析及備援方案分析,並經由分析結果及資料蒐集,思考遭遇重大損失事件時,如何迅速展開復原工作,使企業迅速回復營運,據以設計、測試及訓練規劃企業營運持續計劃及備援架構,同時,每年定時演練以確保符合最新需求及有效性,使企業不因關鍵營運活動的中斷而造成無法預估的損失,甚致影響企業經營。
|
| |
5. 資訊安全內部稽核
為驗證資訊安全管理系統是否正確實施,以及適時地發掘問題,檢查、評估資安控制措施之缺失及衡量資訊安全管理制度之有效性,東捷資訊資安顧問提供規劃資訊安全內部稽核作業、稽核檢查及稽核報告,適時提供改進建議,以確保企業資訊安全管理制度之落實及持續有效,並即時針對稽核發現採取矯正預防措施。
|
|
| |
6. 資訊安全管理制度維護及改善
資訊安全只靠技術與工具是不夠的,必須同時透過管理制度與教育訓練著手,東捷資訊資安顧問從制度規劃、建置到後續維護及持續改善,提供了完整的制度管理、資安稽核、工具產品與資安教育訓練,並針對企業需求及組織特性,提供適切的績效衡量指標,協助企業完善且全面維護資訊安全管理系統。
|
| |
| 為何選擇東捷 |
| |
1. 東捷提供完整資安解決方案
- 以ISO 27001為框架,提供整體安全管理
- 從上而下的管理,建置資訊安全管理系統
- 建立風險控管機制
- 建立資訊安全管理文件
- 7X24X365資訊安全監控機制
- 導入流程控管,強化服務品質
- 主動監控、即時反應、持續改善
- 專業的服務團隊
|
| |
2. 最佳實踐及建置服務
- 運用東捷在資訊安全管理系統建置及導入之專案經驗及智慧,降低專案導入的風險
|
|
| |
3. 專業服務能力
東捷資訊服務的資安團隊服務顧問具備諸如ISO 27001資訊安全主導稽核員(ISO 27001 Lead Auditor)、資訊系統安全專家(Certified Information System Security Professional, CISSP)等國際資安認證,甚至是專案管理認證(Project Management Professional, PMP)資格的專業人員,在資訊相關領域有十年以上經驗,在資安相關領域有至少2年以上的實務經驗,可適切的提供涵蓋技術、管理與安全等資訊安全加值服務。
|
| |
|
|
| |
|
|
|
|
|
|
|
台北市115南港區三重路19-8號5F(南港軟體園區)
TEL:(02)2655-2525 FAX:(02)2655-1010 業務諮詢熱線:(02)5551-9890
東捷資訊服務股份有限公司
版權所有 © 2011 Information Technology Total Service Corp. All Rights Reserved |
|
